Configuración de Microsoft Defender XDR para transmitir eventos de búsqueda avanzada a la cuenta de almacenamiento

Se aplica a:

• Microsoft Defender XDR

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Antes de empezar

1. Create una cuenta de almacenamiento en el inquilino.

2. Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Los proveedores de recursos > de suscripción > se registran en Microsoft.Insights.

Agregar permisos de colaborador

Una vez creada la cuenta de almacenamiento, deberá hacer lo siguiente:

1. Defina el usuario que inicia sesión en Microsoft Defender XDR como Colaborador.

   Vaya a Control de acceso a la cuenta > de almacenamiento (IAM) > Agregar y comprobar en Asignaciones de roles.

Habilitación del streaming de datos sin procesar

1. Inicie sesión en Microsoft Defender XDR como administrador global o administrador de seguridad.

2. Vaya a Configuración>Microsoft Defender XDR>Streaming API. Para ir directamente a la página de Streaming API , use https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Seleccione Agregar.

4. En el control flotante Agregar nueva configuración de Streaming API que aparece, configure las siguientes opciones:

   1. Nombre: elija un nombre para la nueva configuración.
   2. Seleccione Reenviar eventos a Azure Storage.

5. Para mostrar el identificador de recurso de Azure Resource Manager para una cuenta de almacenamiento en el Azure Portal, siga estos pasos:

   1. Vaya a la cuenta de almacenamiento en el Azure Portal.

   2. En la página Información general, en la sección Essentials, seleccione el vínculo Vista JSON.

   3. El identificador de recurso de la cuenta de almacenamiento se muestra en la parte superior de la página y copia el texto en Id. de recurso de la cuenta de almacenamiento.

   4. De nuevo en el control flotante Agregar nueva configuración de Streaming API , elija los tipos de eventos que desea transmitir.

   Cuando haya terminado, seleccione Enviar.

Esquema de los eventos de la cuenta de almacenamiento

• Se crea un contenedor de blobs para cada tipo de evento:

  

• El esquema de cada fila de un blob es el siguiente JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Cada blob contiene varias filas.

• Cada fila contiene el nombre del evento, la hora en que Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo obtendrá eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

• Para obtener más información sobre el esquema de eventos de Microsoft Defender XDR, vea Información general sobre la búsqueda avanzada.

Asignación de tipos de datos

Para obtener los tipos de datos de nuestras propiedades de eventos, haga lo siguiente:

1. Inicie sesión para Microsoft Defender XDR y vaya a Búsquedaavanzada de caza>. Para ir directamente a la página Búsqueda avanzada , use <security.microsoft.com/advanced-hunting>.

2. En la pestaña Consulta , ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Este es un ejemplo del evento Device Info:

  

Supervisión de los recursos creados

Puede supervisar los recursos creados por la API de streaming mediante Azure Monitor. Para obtener más información, consulte Supervisión de destinos: Azure Monitor | Microsoft Docs.

Temas relacionados

• Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn

• Introducción a la búsqueda avanzada

• MICROSOFT DEFENDER XDR STREAMING API

• Stream Microsoft Defender XDR eventos en la cuenta de Azure Storage

• Documentación de la cuenta de Azure Storage

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.